全部博文(290)
分类: WINDOWS
2010-04-13 16:16:35
FAT文件系统彻底删除文件时,文件系统做了以下几件事情:
1.目录表项首字节改为E5,作为文件删除标记;
2.目录表项偏移14、15两个字节的文件初始簇入口高位字节被清0;
3.相应的文件链表被清空。
要完整恢复文件,1是最好解决的。但2、3两部分则成为难点。本文的目的在于解决第二点,对文件的真正入口进行快速准确地定位。
一、原理:
删除文件过程,入口参数的低位字节不变,意味着文件的真正可能入口是以低位字节为基础,以10000H(65536)个簇为间隔跳变的。也就是 说,FAT32文件系统中,被删除文件的真正入口最多有65536种可能(两个高位字节所能表示的最大可变范围)。如果辅之以特定文件的文件头信息进行定 位,真正可能的范围就会大大减小。
二、对彻底删除文件入口进行快速定位的具体方法:
1.按间隔簇数(65536)*分区每簇扇区数*512作为基数,以被删除文件目录表项低位字节所表示入口簇字节为偏移,搜寻特定文件头信息;
2.获取所有的可能入口列表
3.剔除现存文件已占有的入口。
